Могут. Одна из причин — домен, где обнаружилась уязвимость. Даже критический баг окажется для вас бесплатным, если он сидел в wildcard-домене.
Алексей Гришин, руководитель направления Bug Bounty VK, рассказал, где не надо искать баги, и поделился классификацией доменов.
А мы собрали эту информацию в карточки, чтобы она всегда была под рукой.